[TLP:CLEAR] Apple opravuje 2 zranitelnosti
Apple opravuje 2 zranitelnosti v operačních systémech některých svých produktů [1][2][3][4]. Společnost si je vědoma možného aktivního zneužívání těchto zranitelností v extrémně sofistikovaných útocích vůči konkrétně cíleným jedincům. Operační systémy a jejich opravené verze: iOS a iPadOS - 18.4.1 [1]; macOS - 15.4.1 [2]; tvOS - 18.4.1 [3]; visionOS - 2.4.1 [4].
Neautentizovanému vzdálenému útočníkovi je pomocí sociálního inženýrství umožněno doručit speciálně upravený audio soubor, jehož zpracování komponentou CoreAudio může vést ke spuštění kódu [5].
Zranitelnost se nachází v produktech:
- iOS (ios) ve verzích <18.4.1
- iPadOS (ipados) ve verzích <18.4.1
- macOS (macos) ve verzích >=15.0 AND <15.4.1
- tvOS (tvos) ve verzích <18.4.1
- visionOS (visionos) ve verzích <2.4.1
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Více informací:
- CVE-2025-31200 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-787: Out-of-bounds Write at cwe.mitre.org
Zranitelnost byla veřejně oznámena 16. 4. 2025.
Autentizovanému vzdálenému útočníkovi se schopností libovolného čtení a zápisu do paměti je umožněno obejít bezpečnostní mechanismus pro ochranu paměti Pointer Authentication (PAC).
Zranitelnost se nachází v produktech:
- iOS (ios) ve verzích <18.4.1
- iPadOS (ipados) ve verzích <18.4.1
- macOS (macos) ve verzích >=15.0 AND <15.4.1
- visionOS (visionos) ve verzích <2.4.1
CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N
Více informací:
- CVE-2025-31201 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-123: Write-what-where Condition at cwe.mitre.org
Zranitelnost byla veřejně oznámena 16. 4. 2025.
Odkazy
Za CESNET-CERTS Michaela Ručková dne 17. 4. 2025.
